Vereinbarung zur Auftragsverarbeitung
gem. Art. 28 DSGVO
Als Anlagezum Vertrag
- nachfolgend „Leistungsvereinbarung“ -
zwischen dem
Kunden
- nachfolgend „Verantwortlicher“ -
und
Voico GmbH, Weikenrott 19, 46499 Hamminkeln
- nachfolgend „Auftragsverarbeiter“ -
- beide nachfolgend gemeinsam „Vertragsparteien“ -
wird die folgende Vereinbarung zur Auftragsverarbeitung geschlossen:
Inhalt
Vereinbarung zur Auftragsverarbeitung 1
Inhalt 2
Präambel 3
§ 1 Anwendungsbereich und Gegenstand der Verarbeitung 3
§ 2 Dauer und Konkretisierung des Auftragsinhalts 3
§ 3 Verantwortlichkeit und Weisungsbefugnis 4
§ 4 Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter 5
§ 5 Technisch-organisatorische Maßnahmen und deren Kontrolle 6
§ 6 Mitteilung bei Verstößen durch den Auftragsverarbeiter 6
§ 7 Löschung und Rückgabe von Daten 7
§ 8 Subunternehmen 7
§ 9 Datenschutzkontrolle 8
§ 10 Geheimhaltung 8
§ 11 Haftung 8
§ 12 Schlussbestimmungen 9
Anhang 1 „Technisch-organisatorische Maßnahmen“ 10
1. Vertraulichkeit (Art. 32 Abs. 1 Buchst. b DSGVO) 10
2. Integrität (Art. 32 Abs. 1 Buchst. b DSGVO) 11
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 Buchst. b DSGVO) 11
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs.
1 Buchst. d DSGVO; Art. 25 Abs. 1 DSGVO) 11
Anhang 2 „Genehmigte Unterauftragsverhältnisse“ 13
Präambel
Die Vertragsparteien sind mit der Leistungsvereinbarung ein Auftragsverarbeitungsverhältnis
eingegangen. Um die sich hieraus ergebenden Rechte und Pflichten gemäß den Vorgaben der
europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen
Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der
Richtlinie 95/46/EG - DSGVO)zukonkretisieren,schließendieVertragsparteiendienachfolgende
Vereinbarung.
§ 1 Anwendungsbereich und Gegenstand der Verarbeitung
DieVereinbarungfindetAnwendungaufdieErhebung,VerarbeitungundLöschung(imFolgenden:
Verarbeitung) aller personenbezogener Daten (im Folgenden: Daten), die Gegenstand der
Leistungsvereinbarung sind oder im Rahmen von deren Durchführung anfallen oder dem
Auftragsverarbeiter bekannt werden.WesentlichistdieBereitstellungeinerKI-Voicebot-Plattform,
inkl. Telefonieintegration, worüber der Verantwortliche Daten seiner Anrufer/Kunden verarbeiten
lässt.
§ 2 Dauer und Konkretisierung des Auftragsinhalts
(1)DieDauerderVerarbeitungderpersonenbezogenenDatenergibtsichausdemobengenannten
Hauptvertrag.
(2)DerVertraggiltunbeschadetdesvorstehendenAbsatzessolange,wiederAuftragsverarbeiter
Daten des Verantwortlichen verarbeitet (einschließlich Backups).
(3) Im Fall eines Widerspruchs zwischen dieser Vereinbarung und den Bestimmungen damit
zusammenhängender Vereinbarungen, die zwischen den Vertragsparteien bestehen oder später
eingegangen oder geschlossen werden, hat diese Vereinbarung Vorrang.
(4) Umfang, Art und Zweck der verarbeiteten Daten durch den Auftragsverarbeiter für den
Verantwortlichen lassen sich folgendermaßen beschreiben: Erheben, Speichern, Auslesen,
Verwenden, Auswerten (via KI-Analyse), Übermitteln und Löschen von Daten in automatisierten
IT-Systemen sowie, sofern vom Verantwortlichen gewünscht, die Übermittlung an vom
VerantwortlichenbestimmteEmpfänger(z.B.perIntegration).DieVerarbeitungerfolgtzumZweck
der Bereitstellung eines KI-gestützten Telefonassistenten für den Verantwortlichen sowie die
Abwicklung von Anrufen (ausgehend und/oder eingehend) für den Verantwortlichen.
(5) Folgende Datenarten oder -kategorien können, je nach Kontext der Verarbeitung (des
Gespräches) Gegenstand der Verarbeitung durch den Auftragsverarbeiter sein:
● Stammdaten des Anrufers: z.B. Name, Telefonnummer, ggf. Kundennummer, Vertrags-
oder Kontoinformationen (sofern im Gespräch genannt oder per Integration abgerufen).
● Kommunikationsdaten: Inhalt der Telefongespräche (gesprochene Worte) und daraus
abgeleitete Text-Transkriptionen; Anliegen und von Anrufern mitgeteilte Informationen.
● Verkehrsdaten (Metadaten): Rufnummer des Anrufers, angerufene Nummer, Datum,
Uhrzeit und Dauer des Gesprächs; technisch ggf. IP-Adressen bei VoIP;
Tonaufzeichnungen (optional) oder Chatprotokolle.
● EingebundeneexterneDaten: DatenausKundensystemen,dieimRahmendesGesprächs
verarbeitet werden (z.B. im CRM hinterlegte Adresse des Anrufers, sofern abgerufen).
● Nutzungsdaten: Logfiles zum Gesprächsverlauf (Dialogschritte), Fehlerprotokolle, vom
Verantwortlichen definierte Gesprächsnotizen.
● Art.9-Daten:EineVerarbeitungvonbesonderenKategorienpersonenbezogenerDatenim
Sinne von Art. 9 DSGVO ist nicht vorgesehen, kann allerdings technisch nicht
ausgeschlossen werden, da der Anrufer dieseDateneingebenkann,ohnedassdiesvom
Auftragsverarbeiter verhindert werden kann.
(6) Der Kreis der durch den Umgang mit ihren Daten betroffenen Personen sind:
● Anrufer bzw. Kommunikationspartner des Verantwortlichen, z.B.:
○ Kunden,
○ Interessenten,
○ Endverbraucher,
○ Lieferanten sowie Mitarbeiter von Lieferanten oder
○ sonstige Geschäftspartner und Mitarbeiter der Geschäftspartner.
● Ggf. auch Dritte, über die im Gespräch gesprochen wird, falls personenbezogene Daten
Dritter vom Anrufer genannt werden. Wenn der Kunde das System
§ 3 Verantwortlichkeit und Weisungsbefugnis
(1) Die Vertragsparteien sind für die Einhaltung der datenschutzrechtlichen Bestimmungen
verantwortlich. Der Verantwortliche kann jederzeit die Herausgabe, Berichtigung, Anpassung,
Löschung und Einschränkung der Verarbeitung der Daten verlangen.
(2) Zur Gewährleistung des Schutzes der Rechte der betroffenen Personen unterstützt der
Auftragsverarbeiter den Verantwortlichen angemessen, insbesondere durch die Gewährleistung
geeigneter technischer und organisatorischer Maßnahmen.
(3) Soweit sich eine betroffene Person zwecks Geltendmachung eines Betroffenenrechts
unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen
unverzüglich an den Verantwortlichen weiterleiten.
(4) Der Auftragsverarbeiter darf Daten ausschließlich im Rahmen der Weisungen des
Verantwortlichen verarbeiten, sofern er nicht zueineranderenVerarbeitungdurchdasRechtder
UnionoderdesMitgliedstaates,demderAuftragsverarbeiterunterliegt,hierzuverpflichtetist(z.B.
Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der
Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung
mit,soferndasbetreffendeRechteinesolcheMitteilungnichtwegeneineswichtigenöffentlichen
Interessesverbietet(Art.28Abs.3Satz2lit.aDSGVO).EineWeisungistdieaufeinenbestimmten
Umgang des Auftragsverarbeiters mit Datengerichteteschriftliche,elektronischeodermündliche
AnordnungdesVerantwortlichen.DieAnordnungensindzudokumentieren.DieWeisungenwerden
zunächstdurchdieLeistungsvereinbarungdefiniertundkönnenvondemVerantwortlichendanach
in dokumentierter Form durch eine einzelne Weisung geändert, ergänzt oder ersetzt werden.
(5) Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der
Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der
Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange
auszusetzen, bis sie von Seiten des Verantwortlichen bestätigt oder geändert wird.
Verlangt der Verantwortliche die Umsetzung einer Weisung, obwohl der Auftragsverarbeiter den
Verantwortlichen darüber informiert hat, dass diese Weisung seiner Meinung nach gegen
datenschutzrechtliche Vorschriften verstoße, so trägt alleine der Verantwortliche die daraus
resultierenden rechtlichen Konsequenzen.
(6) Änderungen des Verarbeitungsgegenstandes mit Verfahrensänderungen sind gemeinsam
abzustimmen und zu dokumentieren. Auskünfte an Dritte oder die betroffene Person darf der
Auftragsverarbeiter nur nach vorheriger ausdrücklicher Zustimmung in Textform durch den
Verantwortlichenerteilen.DerAuftragsverarbeiterverwendetdieDatenfürkeineanderenZwecke
und ist insbesondere nicht berechtigt, sie anDritteweiterzugeben.KopienundDuplikatewerden
ohne Wissen des Verantwortlichen nicht erstellt (Ausgenommen sind Backups).
(7) Der Verantwortliche führt das Verzeichnis von Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 1
DSGVO.DerAuftragsverarbeiterstelltdemVerantwortlichenaufdessenWunschInformationenzur
Aufnahme in das Verzeichnis zur Verfügung. Der Auftragsverarbeiter führt entsprechend den
Vorgaben des Art. 30 Abs. 2 DSGVO ein Verzeichnis zu allen Kategorien von im Auftrag des
Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung.
(8) Die Verarbeitung der Daten im Auftrag des Verantwortlichen findet ausschließlich auf dem
Gebiet der Europäischen Union statt. Eine Verarbeitung in einem Staat außerhalb des in Satz 1
genannten Territoriums ist nur zulässig wenn sichergestellt ist, dass unter Berücksichtigung der
Voraussetzungen des Kapitels V der DSGVO das durch die DSGVO gewährleisteteSchutzniveau
nicht unterlaufen wird und bedarf der vorherigen ausdrücklichen schriftlichen Zustimmung des
Verantwortlichen. Die grundlegenden Voraussetzungen für die Rechtmäßigkeit der Verarbeitung
bleiben unberührt.
(9) Der Auftragsverarbeiterstelltsicher,dassihmunterstelltenatürlichePersonen,dieZugangzu
Datenhaben,diesenuraufAnweisungdesVerantwortlichenverarbeiten.ErfolgteineVerarbeitung
von Daten außerhalb der Betriebsräume des Auftragsverarbeiters (z.B. Telearbeit, Heimarbeit,
Home Office, mobiles Arbeiten) gewährleistet der Auftragsverarbeiter die Festlegung und
Einhaltung angemessener technischer und organisatorischer Maßnahmen für die jeweilige
Verarbeitungssituation.
§ 4 Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter
(1) Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der Daten befugten
Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen
VerschwiegenheitspflichtunterliegenundweistdiesdemVerantwortlichenaufWunschnach.Dies
umfasst auch die Belehrung über die in diesem Auftragsverarbeitungsverhältnis bestehende
Weisungs- und Zweckbindung.
(2)DieVertragsparteienunterstützensichgegenseitigbeimNachweisundderDokumentationder
ihnen obliegenden Rechenschaftspflicht im Hinblick auf die Grundsätze ordnungsgemäßer
Datenverarbeitung einschließlich der Umsetzung der notwendigen technischen und
organisatorischenMaßnahmen(Art.5Abs.2,Art.24Abs.1DSGVO).DerAuftragsverarbeiterstellt
dem Verantwortlichen hierzu bei Bedarf entsprechende Informationen zur Verfügung.
(3)Soferngesetzlichvorgeschrieben,hatderAuftragsverarbeitereine/nDatenschutzbeauftragte/n
zubenennen,die/derihre/seineTätigkeitentsprechenddengesetzlichenVorschriftenausübt.Die
Kontaktdaten der/des Datenschutzbeauftragten sind in diesem Fall dem Verantwortlichen zum
Zwecke der direkten Kontaktaufnahme auf Anfrage mitzuteilen.
(4) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollen und
Maßnahmen durch die Aufsichtsbehörden oder falls eine Aufsichtsbehörde im Rahmen ihrer
Zuständigkeit bei dem Auftragsverarbeiter anfragt, ermittelt oder sonstige Erkundigungen einzieht.
§ 5 Technisch-organisatorische Maßnahmen und deren Kontrolle
(1)DieVertragsparteienvereinbarendieimAnhang1„Technisch-organisatorischeMaßnahmen“zu
dieser Vereinbarung niedergelegten konkreten technischen und organisatorischen
Sicherheitsmaßnahmen. Der Anhang ist Gegenstand dieser Vereinbarung.
(2) Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt.
Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquateMaßnahmenumzusetzen.
Dabei darf das Sicherheitsniveau der im Anhang 1 „Technisch-organisatorische Maßnahmen“
festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu
dokumentieren.
(3) Der Auftragsverarbeiter wird dem Verantwortlichen alle erforderlichen Informationen zur
Verfügung stellen, die zum Nachweis der Einhaltung der in dieserVereinbarunggetroffenenund
der gesetzlichen Vorgaben erforderlich sind. Er wird insbesondere Überprüfungen/Inspektionen,
die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt
werden,ermöglichenundderenDurchführungunterstützen.DerNachweisderUmsetzungsolcher
Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann dabei auch
● durch Vorlage eines aktuellen Testats, von Berichten hinreichend qualifizierter und
unabhängiger Instanzen (z.B. Wirtschaftsprüfer, unabhängige Datenschutzauditoren),
● durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO,
● einer Zertifizierung nach Art. 42 DSGVO oder
● einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach
BSI-Grundschutz) erbracht werden.
Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen über den Ausschluss von
genehmigten Verhaltensregeln gemäß Art. 41 Abs. 4 DSGVO, den Widerruf einer Zertifizierung
gemäß Art. 42 Abs. 7 und jede andere Form der Aufhebung oder wesentlichen Änderung der
vorgenannten Nachweise unverzüglich zu unterrichten.
(4) Der Verantwortliche kann sich im Benehmen mit dem Auftragsverarbeiter jederzeit zu
Prüfzwecken in dessen Betriebsstätten zu den üblichen Geschäftszeiten ohne Störung des
Betriebsablaufs von der Angemessenheit der Maßnahmen zur Einhaltung der gesetzlichen
Vorgaben oder der zur Durchführung dieses Vertrages erforderlichen technischen und
organisatorischen Erfordernisse überzeugen.
(5) Der Auftragsverarbeiter stellt dem Verantwortlichen darüber hinaus alle erforderlichen
InformationenzurVerfügung,dieerfürdiePrüfungennachAbsatz4sowiefüreineAbschätzung
der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz der Daten
(Datenschutz-Folgenabschätzung i.S.d. Art. 35 DSGVO) benötigt.
(6) Der Auftragsverarbeiter hat im Benehmen mit dem Verantwortlichen alle erforderlichen
Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch
unter Berücksichtigung des Stands der Technik, sowie zur Minderung möglicher nachteiliger
Folgen für Betroffene zu ergreifen.
§ 6 Mitteilung bei Verstößen durch den Auftragsverarbeiter
Der Auftragsverarbeiter unterrichtet den Verantwortlichen umgehend bei schwerwiegenden
Störungen seines Betriebsablaufes, bei Verdacht auf Verstöße gegen diese Vereinbarung sowie
gesetzlicheDatenschutzbestimmungen,beiVerstößengegensolcheBestimmungenoderanderen
Unregelmäßigkeiten bei der Verarbeitung der DatendesVerantwortlichen.Diesgiltinsbesondere
Seite6|13
imHinblickaufdieMeldepflichtnachArt.33Abs.2DSGVOsowieaufkorrespondierendePflichten
des Verantwortlichen nach Art. 33 und Art. 34 DSGVO. Der Auftragsverarbeiter sichert zu, den
VerantwortlichenerforderlichenfallsbeiseinenPflichtennachArt.33und34DSGVOangemessen
zu unterstützen. Meldungen nach Art. 33 oder 34 DSGVO für den Verantwortlichen darf der
Auftragsverarbeiter nur nach vorheriger Weisung gem. § 3 dieses Vertrages durchführen.
§ 7 Löschung und Rückgabe von Daten
(1) Überlassene Datenträger und Datensätze verbleiben im Eigentum des Verantwortlichen.
(2) NachAbschlussdervertraglichvereinbartenLeistungenoderfrühernachAufforderungdurch
den Verantwortlichen, jedoch spätestens mit Beendigung der Leistungsvereinbarung, hat der
Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und
Nutzungsergebnisse sowie Datenbestände (wie auch hiervon gefertigte Kopien oder
Reproduktionen),dieimZusammenhangmitdemAuftragsverhältnisstehen,demVerantwortlichen
auszuhändigen oder nach vorheriger Zustimmung des Verantwortlichen datenschutzgerecht zu
vernichten. Gleiches gilt für Test- und Ausschussmaterial. Ein Löschungsprotokoll ist dem
Verantwortlichen auf Anforderung vorzulegen.
(3) Der Auftragsverarbeiter kann Dokumentationen, die dem Nachweis der auftrags- und
ordnungsgemäßen Datenverarbeitung dienen, entsprechendderjeweiligenAufbewahrungsfristen
bis zu deren Ende auch über das Vertragsende hinaus aufbewahren. Alternativ kann er sie zu
seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben. Für die nach Satz 1
aufbewahrten Daten gelten nach Ende der Aufbewahrungsfrist die Pflichten nach Absatz 2.
§ 8 Subunternehmen
(1) Der Auftragsverarbeiter darf weitereAuftragsverarbeiter(Subunternehmen)nurmitvorheriger
ausdrücklicher Zustimmung in Textform des Verantwortlichen in Anspruch nehmen. Die zur
Erfüllung dieses Vertrages hinzugezogenen Subunternehmen sind im Anhang 2: “Genehmigte
Unterauftragsverhältnisse” im Einzelnen bezeichnet. Mit deren Beauftragung erklärt sich der
Verantwortliche einverstanden. Sofern es sich um eine allgemeine GenehmigunginSchrift-oder
Textform handelt, informiert derAuftragsverarbeiterdenVerantwortlichenunverzüglichüberjede
beabsichtigte Änderung inBezugaufdieHinzuziehungoderdieErsetzungvonSubunternehmen.
Der Verantwortliche kann gegen derartige Änderungen Einspruch erheben. Nicht als Leistungen
von Subunternehmen im Sinne dieser Regelung gelten Dienstleistungen, die der
Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung der Auftragsdurchführungin
Anspruch nimmt, beispielsweise Telekommunikationsdienstleistungen. Der Auftragsverarbeiterist
jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des
Verantwortlichen auch bei fremd vergebenen Nebenleistungen angemessene und
gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
(2) Wenn Subunternehmen durch den Auftragsverarbeiter eingeschaltet werden, hat der
Auftragsverarbeiter sicherzustellen, dass seine vertraglichen Vereinbarungen mit dem
Subunternehmen so gestaltet sind, dass das Datenschutzniveau mindestens der Vereinbarung
zwischendemVerantwortlichenunddemAuftragsverarbeiterentsprichtundallevertraglichenund
gesetzlichen Vorgaben beachtet werden; diesgiltinsbesondereauchimHinblickaufdenEinsatz
geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines
angemessenen Sicherheitsniveaus der Verarbeitung.
(3) Dem Verantwortlichen sind in der vertraglichen Vereinbarung mit dem Subunternehmen
Kontroll-undÜberprüfungsrechteentsprechenddieserVereinbarungeinzuräumen.Ebensoistder
Verantwortlichen berechtigt, auf schriftliche Anforderung vom Auftragsverarbeiter Auskunft über
den Inhalt des mit dem Subunternehmen geschlossenen Vertrages und die darin enthaltene
Umsetzung der datenschutzrelevanten Verpflichtungen des Subunternehmens zu erhalten.
(4) Kommt das Subunternehmen seinen datenschutzrechtlichen Verpflichtungen nicht nach, so
haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten
des Subunternehmens. Der Auftragsverarbeiter hat in diesem Falle auf Verlangen des
Verantwortlichen die Beschäftigung des Subunternehmens ganz oder teilweise zubeendenoder
das Vertragsverhältnis mit dem Subunternehmen zu lösen, wenn und soweit dies nicht
unverhältnismäßig ist.
§ 9 Datenschutzkontrolle
Der Auftragsverarbeiter verpflichtet sich,der/demDatenschutzbeauftragtendesVerantwortlichen
(sofern benannt) sowie der zuständigen Aufsichtsbehörde zur Erfüllung ihrer jeweiligen
gesetzlichenzugewiesenenAufgabenimZusammenhangmitdiesemAuftragjederzeitZugangzu
den üblichen Geschäftszeiten zu gewähren. Der Auftragsverarbeiterunterwirftsichzusätzlichzu
der für ihn bestehenden gesetzlichen Datenschutzaufsicht der Kontrolle der für den
Verantwortlichen bestehenden Datenschutzaufsicht und der Kontrolle durch die/den
Datenschutzbeauftragten des Verantwortlichen (sofern benannt) mitAusnahmederBereiche,die
keinerlei Bezug zur Auftragserfüllung haben. Er duldet insbesondere Betretungs-,Einsichts-und
Fragerechte der Genannten einschließlich der Einsicht in durch Berufsgeheimnisse geschützte
Unterlagen. ErwirdseineMitarbeiteranweisen,mitdenGenanntenzukooperieren,insbesondere
deren Fragen wahrheitsgemäß und vollständig zu beantworten. Die nach Gesetz bestehenden
Verschwiegenheitspflichten und Zeugnisverweigerungsrechte der Genannten bleiben davon
unberührt.
§ 10 Geheimhaltung
(1) Die Vertragsparteien sindverpflichtet,dieihnenunterdiesemVertragvonderjeweilsanderen
Partei zugänglich gemachten InformationensowieKenntnisse,diesiebeidieserZusammenarbeit
über Angelegenheiten – etwa technischer, kommerzieller oder organisatorischer Art – von der
jeweils anderen Vertragspartei erlangen, vertraulich zu behandeln undwährendderDauersowie
nachBeendigungdieserVereinbarungohnedievorherigeEinwilligunginTextformderbetroffenen
Partei nicht für andere Zwecke als die Durchführung dieser Vereinbarung zu verwerten oder zu
nutzen oder Dritten zugänglich zu machen. Eine Nutzung dieser Informationen ist allein aufden
Gebrauch zur Durchführung dieser Vereinbarung beschränkt.
(2) Diese Vertraulichkeitsverpflichtung gilt nicht für Informationen, die
● bei Vertragsabschluss bereits allgemein bekannt waren oder
● nachträglich ohne Verstoß gegen die in dieser VereinbarungenthaltenenVerpflichtungen
allgemein bekannt wurden oder
● Gegenstand von Ermittlungen durch Behörden oder Gerichte sind und im Zuge dieser
Ermittlungen aufgrund einer Verfügung oder eines Beschlusses herauszugeben sind.
§ 11 Haftung
Für die Haftung aufgrund von Verletzungen der Datenschutzbestimmungen oder dieser
Datenschutzvereinbarung gelten die gesetzlichen Vorschriften, sofern in den für die
vertragsgegenständlichen Leistungen geltenden Vertragsdokumenten keine abweichende
Haftungsvereinbarung getroffen wurde.
§ 12 Schlussbestimmungen
(1)DerAuftragsverarbeiterkanndieseAnlageeinschließlichderTOMundUnterauftragsverarbeiter
nach Maßgabe dieses Abschnitts ändern. Der Auftragsverarbeiter teilt dem Verantwortlichen die
beabsichtigtenÄnderungenmindestensvier(4)WochenvordemvorgesehenenWirksamwerdenin
Textform mitundhebtdieÄnderungensowiedasDatumdesWirksamwerdensdeutlichhervor.In
derMitteilungwirdderVerantwortlicheausdrücklichaufseinRechtzumWiderspruchinnerhalbder
Fristhingewiesen.Änderungenwerdenwirksam,wennderVerantwortlichenichtinnerhalbvonvier
(4) Wochen nach Zugang der Mitteilung in Textform widerspricht.
(2) Widerspricht der Verantwortliche fristgerecht, gelten die bisherigen Regelungen fort; jede
Partei ist berechtigt, denAVVhinsichtlichdesbetroffenenRegelungsbereichszumvorgesehenen
Änderungszeitpunkt außerordentlich zu kündigen. Weitergehende Rechte bleiben unberührt.
(3) Sollten einzelne Regelungen dieser Vereinbarung unwirksam oder undurchführbar sein, wird
davondieWirksamkeitderübrigenRegelungennichtberührt.AndieStellederunwirksamenoder
undurchführbaren Regelung tritt diejenige wirksame und durchführbare Regelung, deren
Wirkungen der Zielsetzung am nächsten kommt, die die Vertragsparteien mit der unwirksamen
oder undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten
entsprechend für den Fall, dass sich die Vereinbarung als lückenhaft erweist.
Anhang 1 „Technisch-organisatorische Maßnahmen“
nach Art. 32 DSGVO
§ 5 der Vereinbarung zur Auftragsverarbeitung verweist zur Konkretisierung der
technisch-organisatorischen Maßnahmen auf diesen Anhang.
Konkrete Beschreibung der technisch-organisatorischen Maßnahmen des Auftragsverarbeiters
unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte
und Freiheiten betroffener Personen:
1. Vertraulichkeit (Art. 32 Abs. 1 Buchst. b DSGVO)
1.1 Zutrittskontrolle
Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.
● Nicht einschlägig, da kein Betriebsgelände, die Services werden ausschließlich bei ISO
27001 zertifizierten Cloud Computing Providern gehostet.
1.2 Zugangskontrolle
Das Eindringen Unbefugter in die IT-Systeme ist zu verhindern.
● Server sind nur nach einem individuellen Login nutzbar
● Clients sind nur nach einem individuellen Login nutzbar
● Login mit Kennwortverfahren (u.a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel
des Kennworts)
● fehlerhafte Anmeldeversuche werden protokolliert
● Anweisung zum Sperren des IT-Systems bei Verlassen des Arbeitsplatzes
● Automatische Sperrung bei Pausen und Fehlanmeldungen (z.B. Kennwort oder
Pausenschaltung)
● Einrichtung eines Benutzerstammsatzes pro User
● automatisierte Standardroutinen für regelmäßige Aktualisierung von Schutzsoftware
● Verschlüsselung von Datenträgern
● mobile IT-Systeme sind verschlüsselt
● mobile Datenträger sind verschlüsselt
1.3 Zugriffskontrolle
Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu
verhindern.
● es gibt ein Berechtigungskonzept mit differenzierten Berechtigungen (Profile, Rollen,
Transaktionen und Objekte)
● Verfahren zur Vergabe und periodischen Überprüfung der Berechtigungen ist definiert
● Berechtigungen werden ausschließlich von Administratoren eingerichtet
● Anzahl der Administratoren ist weitgehend reduziert
● ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich über verschlüsselte
Verbindungen
● Zugriffe auf Anwendungen und/oder Daten werden protokolliert und könnenausgewertet
werden
● nicht mehr verwendete Datenträger werden sicher gelöscht / vernichtet
● Papierunterlagen mit personenbezogenen Daten werden sicher vernichtet
● Daten-Löschungen/-Vernichtungen werden protokolliert
1.4 Trennungskontrolle
Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.
● Interne Mandantenfähigkeit (z.B.: Daten von unterschiedlichen Auftraggebern sind
logisch/physikalisch voneinander getrennt)
● Funktionstrennung (Produktion/Test)
● Zuständigkeiten und Verantwortlichkeiten sind eindeutig festgelegt
1.5 Pseudonymisierung (Art. 32 Abs. 1 Buchst. a DSGVO; Art. 25 Abs. 1 DSGVO)
Ein Personenbezug ist nur möglich, wenn zusätzliche Informationen hinzugezogen werden können.
● personenbezogene Daten werden, soweit möglich, nur unter einem Pseudonym
gespeichert
● diezusätzlichenInformationen,dieeinenPersonenbezugherstellenkönnen,werdenunter
Verschluss aufbewahrt
2. Integrität (Art. 32 Abs. 1 Buchst. b DSGVO)
2.1. Weitergabekontrolle
Aspekte der Weitergabe personenbezogener Daten sind zu regeln: Elektronische Übertragung,
Datentransport, Übermittlungskontrolle, ...
● MitarbeiterinKundenprojektenwerdenbelehrtüberdiezulässigeNutzungundWeitergabe
von Daten
● Verschlüsselte Leitungen
● E-Mail-Verschlüsselung (TLS)
2.2. Eingabekontrolle
Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu
gewährleisten.
Beispiele (bitte anpassen/ergänzen):
● Protokollierungs- und Protokollauswertungssysteme (wer hat was eingegeben, geändert,
gelöscht?)
● Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle
Benutzernamen (nicht Benutzergruppen)
● Mitarbeiter sind verpflichtet, nur unter ihren eigenen Benutzerkonten zu arbeiten
● Kontrolldaten werden aufbewahrt
● Zugriff auf die Protokolle ist nur Berechtigten möglich
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 Buchst. b DSGVO)
3.1. Verfügbarkeitskontrolle
Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.
● Verfahren zur regelmäßigen Sicherung der Daten (Backup)
● getrennte und katastrophensichere Aufbewahrung von Backups
● Backups sind verschlüsselt
● Einspielen von Backups wird regelmäßig getestet (Recovery)
● Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme,
Spam-Filter)
● IT-Systeme werden regelmäßig mit Sicherheits-Updates aktualisiert
● Notfallplan liegt vor
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art.
32 Abs. 1 Buchst. d DSGVO; Art. 25 Abs. 1 DSGVO)
4.1 Datenschutz-Management
● Handbuch / Richtlinie zum Datenschutz ist für die Mitarbeiter vorhanden
● Externer Datenschutzbeauftragter ist benannt (Felix Freyberg, Mandrellaplatz 3, 12555
Berlin, E-Mail: DPO+voico@felix-freyberg.de)
● regelmäßige Kontrolle durch den Datenschutzbeauftragten
● Beschäftigte werden im Datenschutz geschult
● Beschäftigten sind zum vertraulichen Umgang mit personenbezogenen Daten verpflichtet
● Vorgaben zum Umgang mit Datenpannen sind für Mitarbeiter vorhanden
● interne Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert und
angepasst
● Verzeichnis von Verarbeitungstätigkeiten im Sinn des Art. 30 DSGVO wird geführt
4.2 Incident-Response-Management
● Vorgaben vorhanden, was als Datenpanne anzusehen ist
● Vorgaben vorhanden, wie mit Datenpannen umzugehen ist
● Notfallplan vorhanden
4.3 Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
● Rechte- und Rollenkonzept nach dem „Need to know“-Prinzip
● externe Ressourcen werden, soweit möglich, vermieden
4.4 Auftragskontrolle
● Eindeutige Vertragsgestaltung
● formalisierte Auftragserteilung (Auftragsformular)
● Kriterien zur Auswahl des Auftragnehmers
● Kontrolle der Vertragsausführung
● Subunternehmer werden schriftlich beauftragt
Anhang 2 „Genehmigte Unterauftragsverhältnisse“
Unterauftragsverarbeiter Anschrift / Land Datenverarbeitung Serverstandort
T-Systems International Hahnstraße 43d Cloud-Computing Deutschland
GmbH 60528 Frankfurt a.M. (Backend)
Deutschland
IONOS SE Elgendorfer Str. 57 Cloud-Computing Deutschland
56410 Montabaur
Deutschland
OpenAI Ireland Ltd 117-126 Sheriff Street Bereitstellung von USA
(sofern vom Upper KI-Modellen (GPT)
Verantwortlichen Dublin 1, D01 YC43
ausgewählt) Irland
Google Cloud EMEA 70 Sir John Bereitstellung von EU
Limited Rogerson's Quay KI-Modellen (Gemini)
(sofern vom Dublin 2, D02 R296
Verantwortlichen Ireland
ausgewählt)
Anthropic PBC 548 Market Street, Bereitstellung von USA
(sofern vom PMB 90375 San KI-Modellen (Claude)
Verantwortlichen Francisco, CA 94104
ausgewählt) USA
Eleven Labs Inc. 169 Madison Ave Bereitstellung von EU
#2484 Text-to-Speech-Funktionen
New York, NY 10016
USA
Twilio Germany GmbH Unter den Linden 10 Bereitstellung von Deutschland
10117 Berlin Telekommunikations-
Deutschland diensten (Telefonnummern)
Vereinbarung zur Auftragsverarbeitung
gem. Art. 28 DSGVO
Als Anlagezum Vertrag
- nachfolgend „Leistungsvereinbarung“ -
zwischen dem
Kunden
- nachfolgend „Verantwortlicher“ -
und
Voico GmbH, Weikenrott 19, 46499 Hamminkeln
- nachfolgend „Auftragsverarbeiter“ -
- beide nachfolgend gemeinsam „Vertragsparteien“ -
wird die folgende Vereinbarung zur Auftragsverarbeitung geschlossen:
Inhalt
Vereinbarung zur Auftragsverarbeitung 1
Inhalt 2
Präambel 3
§ 1 Anwendungsbereich und Gegenstand der Verarbeitung 3
§ 2 Dauer und Konkretisierung des Auftragsinhalts 3
§ 3 Verantwortlichkeit und Weisungsbefugnis 4
§ 4 Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter 5
§ 5 Technisch-organisatorische Maßnahmen und deren Kontrolle 6
§ 6 Mitteilung bei Verstößen durch den Auftragsverarbeiter 6
§ 7 Löschung und Rückgabe von Daten 7
§ 8 Subunternehmen 7
§ 9 Datenschutzkontrolle 8
§ 10 Geheimhaltung 8
§ 11 Haftung 8
§ 12 Schlussbestimmungen 9
Anhang 1 „Technisch-organisatorische Maßnahmen“ 10
1. Vertraulichkeit (Art. 32 Abs. 1 Buchst. b DSGVO) 10
2. Integrität (Art. 32 Abs. 1 Buchst. b DSGVO) 11
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 Buchst. b DSGVO) 11
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs.
1 Buchst. d DSGVO; Art. 25 Abs. 1 DSGVO) 11
Anhang 2 „Genehmigte Unterauftragsverhältnisse“ 13
Präambel
Die Vertragsparteien sind mit der Leistungsvereinbarung ein Auftragsverarbeitungsverhältnis
eingegangen. Um die sich hieraus ergebenden Rechte und Pflichten gemäß den Vorgaben der
europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen
Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der
Richtlinie 95/46/EG - DSGVO)zukonkretisieren,schließendieVertragsparteiendienachfolgende
Vereinbarung.
§ 1 Anwendungsbereich und Gegenstand der Verarbeitung
DieVereinbarungfindetAnwendungaufdieErhebung,VerarbeitungundLöschung(imFolgenden:
Verarbeitung) aller personenbezogener Daten (im Folgenden: Daten), die Gegenstand der
Leistungsvereinbarung sind oder im Rahmen von deren Durchführung anfallen oder dem
Auftragsverarbeiter bekannt werden.WesentlichistdieBereitstellungeinerKI-Voicebot-Plattform,
inkl. Telefonieintegration, worüber der Verantwortliche Daten seiner Anrufer/Kunden verarbeiten
lässt.
§ 2 Dauer und Konkretisierung des Auftragsinhalts
(1)DieDauerderVerarbeitungderpersonenbezogenenDatenergibtsichausdemobengenannten
Hauptvertrag.
(2)DerVertraggiltunbeschadetdesvorstehendenAbsatzessolange,wiederAuftragsverarbeiter
Daten des Verantwortlichen verarbeitet (einschließlich Backups).
(3) Im Fall eines Widerspruchs zwischen dieser Vereinbarung und den Bestimmungen damit
zusammenhängender Vereinbarungen, die zwischen den Vertragsparteien bestehen oder später
eingegangen oder geschlossen werden, hat diese Vereinbarung Vorrang.
(4) Umfang, Art und Zweck der verarbeiteten Daten durch den Auftragsverarbeiter für den
Verantwortlichen lassen sich folgendermaßen beschreiben: Erheben, Speichern, Auslesen,
Verwenden, Auswerten (via KI-Analyse), Übermitteln und Löschen von Daten in automatisierten
IT-Systemen sowie, sofern vom Verantwortlichen gewünscht, die Übermittlung an vom
VerantwortlichenbestimmteEmpfänger(z.B.perIntegration).DieVerarbeitungerfolgtzumZweck
der Bereitstellung eines KI-gestützten Telefonassistenten für den Verantwortlichen sowie die
Abwicklung von Anrufen (ausgehend und/oder eingehend) für den Verantwortlichen.
(5) Folgende Datenarten oder -kategorien können, je nach Kontext der Verarbeitung (des
Gespräches) Gegenstand der Verarbeitung durch den Auftragsverarbeiter sein:
● Stammdaten des Anrufers: z.B. Name, Telefonnummer, ggf. Kundennummer, Vertrags-
oder Kontoinformationen (sofern im Gespräch genannt oder per Integration abgerufen).
● Kommunikationsdaten: Inhalt der Telefongespräche (gesprochene Worte) und daraus
abgeleitete Text-Transkriptionen; Anliegen und von Anrufern mitgeteilte Informationen.
● Verkehrsdaten (Metadaten): Rufnummer des Anrufers, angerufene Nummer, Datum,
Uhrzeit und Dauer des Gesprächs; technisch ggf. IP-Adressen bei VoIP;
Tonaufzeichnungen (optional) oder Chatprotokolle.
● EingebundeneexterneDaten: DatenausKundensystemen,dieimRahmendesGesprächs
verarbeitet werden (z.B. im CRM hinterlegte Adresse des Anrufers, sofern abgerufen).
● Nutzungsdaten: Logfiles zum Gesprächsverlauf (Dialogschritte), Fehlerprotokolle, vom
Verantwortlichen definierte Gesprächsnotizen.
● Art.9-Daten:EineVerarbeitungvonbesonderenKategorienpersonenbezogenerDatenim
Sinne von Art. 9 DSGVO ist nicht vorgesehen, kann allerdings technisch nicht
ausgeschlossen werden, da der Anrufer dieseDateneingebenkann,ohnedassdiesvom
Auftragsverarbeiter verhindert werden kann.
(6) Der Kreis der durch den Umgang mit ihren Daten betroffenen Personen sind:
● Anrufer bzw. Kommunikationspartner des Verantwortlichen, z.B.:
○ Kunden,
○ Interessenten,
○ Endverbraucher,
○ Lieferanten sowie Mitarbeiter von Lieferanten oder
○ sonstige Geschäftspartner und Mitarbeiter der Geschäftspartner.
● Ggf. auch Dritte, über die im Gespräch gesprochen wird, falls personenbezogene Daten
Dritter vom Anrufer genannt werden. Wenn der Kunde das System
§ 3 Verantwortlichkeit und Weisungsbefugnis
(1) Die Vertragsparteien sind für die Einhaltung der datenschutzrechtlichen Bestimmungen
verantwortlich. Der Verantwortliche kann jederzeit die Herausgabe, Berichtigung, Anpassung,
Löschung und Einschränkung der Verarbeitung der Daten verlangen.
(2) Zur Gewährleistung des Schutzes der Rechte der betroffenen Personen unterstützt der
Auftragsverarbeiter den Verantwortlichen angemessen, insbesondere durch die Gewährleistung
geeigneter technischer und organisatorischer Maßnahmen.
(3) Soweit sich eine betroffene Person zwecks Geltendmachung eines Betroffenenrechts
unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen
unverzüglich an den Verantwortlichen weiterleiten.
(4) Der Auftragsverarbeiter darf Daten ausschließlich im Rahmen der Weisungen des
Verantwortlichen verarbeiten, sofern er nicht zueineranderenVerarbeitungdurchdasRechtder
UnionoderdesMitgliedstaates,demderAuftragsverarbeiterunterliegt,hierzuverpflichtetist(z.B.
Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der
Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung
mit,soferndasbetreffendeRechteinesolcheMitteilungnichtwegeneineswichtigenöffentlichen
Interessesverbietet(Art.28Abs.3Satz2lit.aDSGVO).EineWeisungistdieaufeinenbestimmten
Umgang des Auftragsverarbeiters mit Datengerichteteschriftliche,elektronischeodermündliche
AnordnungdesVerantwortlichen.DieAnordnungensindzudokumentieren.DieWeisungenwerden
zunächstdurchdieLeistungsvereinbarungdefiniertundkönnenvondemVerantwortlichendanach
in dokumentierter Form durch eine einzelne Weisung geändert, ergänzt oder ersetzt werden.
(5) Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der
Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der
Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange
auszusetzen, bis sie von Seiten des Verantwortlichen bestätigt oder geändert wird.
Verlangt der Verantwortliche die Umsetzung einer Weisung, obwohl der Auftragsverarbeiter den
Verantwortlichen darüber informiert hat, dass diese Weisung seiner Meinung nach gegen
datenschutzrechtliche Vorschriften verstoße, so trägt alleine der Verantwortliche die daraus
resultierenden rechtlichen Konsequenzen.
(6) Änderungen des Verarbeitungsgegenstandes mit Verfahrensänderungen sind gemeinsam
abzustimmen und zu dokumentieren. Auskünfte an Dritte oder die betroffene Person darf der
Auftragsverarbeiter nur nach vorheriger ausdrücklicher Zustimmung in Textform durch den
Verantwortlichenerteilen.DerAuftragsverarbeiterverwendetdieDatenfürkeineanderenZwecke
und ist insbesondere nicht berechtigt, sie anDritteweiterzugeben.KopienundDuplikatewerden
ohne Wissen des Verantwortlichen nicht erstellt (Ausgenommen sind Backups).
(7) Der Verantwortliche führt das Verzeichnis von Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 1
DSGVO.DerAuftragsverarbeiterstelltdemVerantwortlichenaufdessenWunschInformationenzur
Aufnahme in das Verzeichnis zur Verfügung. Der Auftragsverarbeiter führt entsprechend den
Vorgaben des Art. 30 Abs. 2 DSGVO ein Verzeichnis zu allen Kategorien von im Auftrag des
Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung.
(8) Die Verarbeitung der Daten im Auftrag des Verantwortlichen findet ausschließlich auf dem
Gebiet der Europäischen Union statt. Eine Verarbeitung in einem Staat außerhalb des in Satz 1
genannten Territoriums ist nur zulässig wenn sichergestellt ist, dass unter Berücksichtigung der
Voraussetzungen des Kapitels V der DSGVO das durch die DSGVO gewährleisteteSchutzniveau
nicht unterlaufen wird und bedarf der vorherigen ausdrücklichen schriftlichen Zustimmung des
Verantwortlichen. Die grundlegenden Voraussetzungen für die Rechtmäßigkeit der Verarbeitung
bleiben unberührt.
(9) Der Auftragsverarbeiterstelltsicher,dassihmunterstelltenatürlichePersonen,dieZugangzu
Datenhaben,diesenuraufAnweisungdesVerantwortlichenverarbeiten.ErfolgteineVerarbeitung
von Daten außerhalb der Betriebsräume des Auftragsverarbeiters (z.B. Telearbeit, Heimarbeit,
Home Office, mobiles Arbeiten) gewährleistet der Auftragsverarbeiter die Festlegung und
Einhaltung angemessener technischer und organisatorischer Maßnahmen für die jeweilige
Verarbeitungssituation.
§ 4 Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter
(1) Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der Daten befugten
Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen
VerschwiegenheitspflichtunterliegenundweistdiesdemVerantwortlichenaufWunschnach.Dies
umfasst auch die Belehrung über die in diesem Auftragsverarbeitungsverhältnis bestehende
Weisungs- und Zweckbindung.
(2)DieVertragsparteienunterstützensichgegenseitigbeimNachweisundderDokumentationder
ihnen obliegenden Rechenschaftspflicht im Hinblick auf die Grundsätze ordnungsgemäßer
Datenverarbeitung einschließlich der Umsetzung der notwendigen technischen und
organisatorischenMaßnahmen(Art.5Abs.2,Art.24Abs.1DSGVO).DerAuftragsverarbeiterstellt
dem Verantwortlichen hierzu bei Bedarf entsprechende Informationen zur Verfügung.
(3)Soferngesetzlichvorgeschrieben,hatderAuftragsverarbeitereine/nDatenschutzbeauftragte/n
zubenennen,die/derihre/seineTätigkeitentsprechenddengesetzlichenVorschriftenausübt.Die
Kontaktdaten der/des Datenschutzbeauftragten sind in diesem Fall dem Verantwortlichen zum
Zwecke der direkten Kontaktaufnahme auf Anfrage mitzuteilen.
(4) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollen und
Maßnahmen durch die Aufsichtsbehörden oder falls eine Aufsichtsbehörde im Rahmen ihrer
Zuständigkeit bei dem Auftragsverarbeiter anfragt, ermittelt oder sonstige Erkundigungen einzieht.
§ 5 Technisch-organisatorische Maßnahmen und deren Kontrolle
(1)DieVertragsparteienvereinbarendieimAnhang1„Technisch-organisatorischeMaßnahmen“zu
dieser Vereinbarung niedergelegten konkreten technischen und organisatorischen
Sicherheitsmaßnahmen. Der Anhang ist Gegenstand dieser Vereinbarung.
(2) Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt.
Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquateMaßnahmenumzusetzen.
Dabei darf das Sicherheitsniveau der im Anhang 1 „Technisch-organisatorische Maßnahmen“
festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu
dokumentieren.
(3) Der Auftragsverarbeiter wird dem Verantwortlichen alle erforderlichen Informationen zur
Verfügung stellen, die zum Nachweis der Einhaltung der in dieserVereinbarunggetroffenenund
der gesetzlichen Vorgaben erforderlich sind. Er wird insbesondere Überprüfungen/Inspektionen,
die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt
werden,ermöglichenundderenDurchführungunterstützen.DerNachweisderUmsetzungsolcher
Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann dabei auch
● durch Vorlage eines aktuellen Testats, von Berichten hinreichend qualifizierter und
unabhängiger Instanzen (z.B. Wirtschaftsprüfer, unabhängige Datenschutzauditoren),
● durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO,
● einer Zertifizierung nach Art. 42 DSGVO oder
● einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach
BSI-Grundschutz) erbracht werden.
Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen über den Ausschluss von
genehmigten Verhaltensregeln gemäß Art. 41 Abs. 4 DSGVO, den Widerruf einer Zertifizierung
gemäß Art. 42 Abs. 7 und jede andere Form der Aufhebung oder wesentlichen Änderung der
vorgenannten Nachweise unverzüglich zu unterrichten.
(4) Der Verantwortliche kann sich im Benehmen mit dem Auftragsverarbeiter jederzeit zu
Prüfzwecken in dessen Betriebsstätten zu den üblichen Geschäftszeiten ohne Störung des
Betriebsablaufs von der Angemessenheit der Maßnahmen zur Einhaltung der gesetzlichen
Vorgaben oder der zur Durchführung dieses Vertrages erforderlichen technischen und
organisatorischen Erfordernisse überzeugen.
(5) Der Auftragsverarbeiter stellt dem Verantwortlichen darüber hinaus alle erforderlichen
InformationenzurVerfügung,dieerfürdiePrüfungennachAbsatz4sowiefüreineAbschätzung
der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz der Daten
(Datenschutz-Folgenabschätzung i.S.d. Art. 35 DSGVO) benötigt.
(6) Der Auftragsverarbeiter hat im Benehmen mit dem Verantwortlichen alle erforderlichen
Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch
unter Berücksichtigung des Stands der Technik, sowie zur Minderung möglicher nachteiliger
Folgen für Betroffene zu ergreifen.
§ 6 Mitteilung bei Verstößen durch den Auftragsverarbeiter
Der Auftragsverarbeiter unterrichtet den Verantwortlichen umgehend bei schwerwiegenden
Störungen seines Betriebsablaufes, bei Verdacht auf Verstöße gegen diese Vereinbarung sowie
gesetzlicheDatenschutzbestimmungen,beiVerstößengegensolcheBestimmungenoderanderen
Unregelmäßigkeiten bei der Verarbeitung der DatendesVerantwortlichen.Diesgiltinsbesondere
Seite6|13
imHinblickaufdieMeldepflichtnachArt.33Abs.2DSGVOsowieaufkorrespondierendePflichten
des Verantwortlichen nach Art. 33 und Art. 34 DSGVO. Der Auftragsverarbeiter sichert zu, den
VerantwortlichenerforderlichenfallsbeiseinenPflichtennachArt.33und34DSGVOangemessen
zu unterstützen. Meldungen nach Art. 33 oder 34 DSGVO für den Verantwortlichen darf der
Auftragsverarbeiter nur nach vorheriger Weisung gem. § 3 dieses Vertrages durchführen.
§ 7 Löschung und Rückgabe von Daten
(1) Überlassene Datenträger und Datensätze verbleiben im Eigentum des Verantwortlichen.
(2) NachAbschlussdervertraglichvereinbartenLeistungenoderfrühernachAufforderungdurch
den Verantwortlichen, jedoch spätestens mit Beendigung der Leistungsvereinbarung, hat der
Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und
Nutzungsergebnisse sowie Datenbestände (wie auch hiervon gefertigte Kopien oder
Reproduktionen),dieimZusammenhangmitdemAuftragsverhältnisstehen,demVerantwortlichen
auszuhändigen oder nach vorheriger Zustimmung des Verantwortlichen datenschutzgerecht zu
vernichten. Gleiches gilt für Test- und Ausschussmaterial. Ein Löschungsprotokoll ist dem
Verantwortlichen auf Anforderung vorzulegen.
(3) Der Auftragsverarbeiter kann Dokumentationen, die dem Nachweis der auftrags- und
ordnungsgemäßen Datenverarbeitung dienen, entsprechendderjeweiligenAufbewahrungsfristen
bis zu deren Ende auch über das Vertragsende hinaus aufbewahren. Alternativ kann er sie zu
seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben. Für die nach Satz 1
aufbewahrten Daten gelten nach Ende der Aufbewahrungsfrist die Pflichten nach Absatz 2.
§ 8 Subunternehmen
(1) Der Auftragsverarbeiter darf weitereAuftragsverarbeiter(Subunternehmen)nurmitvorheriger
ausdrücklicher Zustimmung in Textform des Verantwortlichen in Anspruch nehmen. Die zur
Erfüllung dieses Vertrages hinzugezogenen Subunternehmen sind im Anhang 2: “Genehmigte
Unterauftragsverhältnisse” im Einzelnen bezeichnet. Mit deren Beauftragung erklärt sich der
Verantwortliche einverstanden. Sofern es sich um eine allgemeine GenehmigunginSchrift-oder
Textform handelt, informiert derAuftragsverarbeiterdenVerantwortlichenunverzüglichüberjede
beabsichtigte Änderung inBezugaufdieHinzuziehungoderdieErsetzungvonSubunternehmen.
Der Verantwortliche kann gegen derartige Änderungen Einspruch erheben. Nicht als Leistungen
von Subunternehmen im Sinne dieser Regelung gelten Dienstleistungen, die der
Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung der Auftragsdurchführungin
Anspruch nimmt, beispielsweise Telekommunikationsdienstleistungen. Der Auftragsverarbeiterist
jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des
Verantwortlichen auch bei fremd vergebenen Nebenleistungen angemessene und
gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
(2) Wenn Subunternehmen durch den Auftragsverarbeiter eingeschaltet werden, hat der
Auftragsverarbeiter sicherzustellen, dass seine vertraglichen Vereinbarungen mit dem
Subunternehmen so gestaltet sind, dass das Datenschutzniveau mindestens der Vereinbarung
zwischendemVerantwortlichenunddemAuftragsverarbeiterentsprichtundallevertraglichenund
gesetzlichen Vorgaben beachtet werden; diesgiltinsbesondereauchimHinblickaufdenEinsatz
geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines
angemessenen Sicherheitsniveaus der Verarbeitung.
(3) Dem Verantwortlichen sind in der vertraglichen Vereinbarung mit dem Subunternehmen
Kontroll-undÜberprüfungsrechteentsprechenddieserVereinbarungeinzuräumen.Ebensoistder
Verantwortlichen berechtigt, auf schriftliche Anforderung vom Auftragsverarbeiter Auskunft über
den Inhalt des mit dem Subunternehmen geschlossenen Vertrages und die darin enthaltene
Umsetzung der datenschutzrelevanten Verpflichtungen des Subunternehmens zu erhalten.
(4) Kommt das Subunternehmen seinen datenschutzrechtlichen Verpflichtungen nicht nach, so
haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten
des Subunternehmens. Der Auftragsverarbeiter hat in diesem Falle auf Verlangen des
Verantwortlichen die Beschäftigung des Subunternehmens ganz oder teilweise zubeendenoder
das Vertragsverhältnis mit dem Subunternehmen zu lösen, wenn und soweit dies nicht
unverhältnismäßig ist.
§ 9 Datenschutzkontrolle
Der Auftragsverarbeiter verpflichtet sich,der/demDatenschutzbeauftragtendesVerantwortlichen
(sofern benannt) sowie der zuständigen Aufsichtsbehörde zur Erfüllung ihrer jeweiligen
gesetzlichenzugewiesenenAufgabenimZusammenhangmitdiesemAuftragjederzeitZugangzu
den üblichen Geschäftszeiten zu gewähren. Der Auftragsverarbeiterunterwirftsichzusätzlichzu
der für ihn bestehenden gesetzlichen Datenschutzaufsicht der Kontrolle der für den
Verantwortlichen bestehenden Datenschutzaufsicht und der Kontrolle durch die/den
Datenschutzbeauftragten des Verantwortlichen (sofern benannt) mitAusnahmederBereiche,die
keinerlei Bezug zur Auftragserfüllung haben. Er duldet insbesondere Betretungs-,Einsichts-und
Fragerechte der Genannten einschließlich der Einsicht in durch Berufsgeheimnisse geschützte
Unterlagen. ErwirdseineMitarbeiteranweisen,mitdenGenanntenzukooperieren,insbesondere
deren Fragen wahrheitsgemäß und vollständig zu beantworten. Die nach Gesetz bestehenden
Verschwiegenheitspflichten und Zeugnisverweigerungsrechte der Genannten bleiben davon
unberührt.
§ 10 Geheimhaltung
(1) Die Vertragsparteien sindverpflichtet,dieihnenunterdiesemVertragvonderjeweilsanderen
Partei zugänglich gemachten InformationensowieKenntnisse,diesiebeidieserZusammenarbeit
über Angelegenheiten – etwa technischer, kommerzieller oder organisatorischer Art – von der
jeweils anderen Vertragspartei erlangen, vertraulich zu behandeln undwährendderDauersowie
nachBeendigungdieserVereinbarungohnedievorherigeEinwilligunginTextformderbetroffenen
Partei nicht für andere Zwecke als die Durchführung dieser Vereinbarung zu verwerten oder zu
nutzen oder Dritten zugänglich zu machen. Eine Nutzung dieser Informationen ist allein aufden
Gebrauch zur Durchführung dieser Vereinbarung beschränkt.
(2) Diese Vertraulichkeitsverpflichtung gilt nicht für Informationen, die
● bei Vertragsabschluss bereits allgemein bekannt waren oder
● nachträglich ohne Verstoß gegen die in dieser VereinbarungenthaltenenVerpflichtungen
allgemein bekannt wurden oder
● Gegenstand von Ermittlungen durch Behörden oder Gerichte sind und im Zuge dieser
Ermittlungen aufgrund einer Verfügung oder eines Beschlusses herauszugeben sind.
§ 11 Haftung
Für die Haftung aufgrund von Verletzungen der Datenschutzbestimmungen oder dieser
Datenschutzvereinbarung gelten die gesetzlichen Vorschriften, sofern in den für die
vertragsgegenständlichen Leistungen geltenden Vertragsdokumenten keine abweichende
Haftungsvereinbarung getroffen wurde.
§ 12 Schlussbestimmungen
(1)DerAuftragsverarbeiterkanndieseAnlageeinschließlichderTOMundUnterauftragsverarbeiter
nach Maßgabe dieses Abschnitts ändern. Der Auftragsverarbeiter teilt dem Verantwortlichen die
beabsichtigtenÄnderungenmindestensvier(4)WochenvordemvorgesehenenWirksamwerdenin
Textform mitundhebtdieÄnderungensowiedasDatumdesWirksamwerdensdeutlichhervor.In
derMitteilungwirdderVerantwortlicheausdrücklichaufseinRechtzumWiderspruchinnerhalbder
Fristhingewiesen.Änderungenwerdenwirksam,wennderVerantwortlichenichtinnerhalbvonvier
(4) Wochen nach Zugang der Mitteilung in Textform widerspricht.
(2) Widerspricht der Verantwortliche fristgerecht, gelten die bisherigen Regelungen fort; jede
Partei ist berechtigt, denAVVhinsichtlichdesbetroffenenRegelungsbereichszumvorgesehenen
Änderungszeitpunkt außerordentlich zu kündigen. Weitergehende Rechte bleiben unberührt.
(3) Sollten einzelne Regelungen dieser Vereinbarung unwirksam oder undurchführbar sein, wird
davondieWirksamkeitderübrigenRegelungennichtberührt.AndieStellederunwirksamenoder
undurchführbaren Regelung tritt diejenige wirksame und durchführbare Regelung, deren
Wirkungen der Zielsetzung am nächsten kommt, die die Vertragsparteien mit der unwirksamen
oder undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten
entsprechend für den Fall, dass sich die Vereinbarung als lückenhaft erweist.
Anhang 1 „Technisch-organisatorische Maßnahmen“
nach Art. 32 DSGVO
§ 5 der Vereinbarung zur Auftragsverarbeitung verweist zur Konkretisierung der
technisch-organisatorischen Maßnahmen auf diesen Anhang.
Konkrete Beschreibung der technisch-organisatorischen Maßnahmen des Auftragsverarbeiters
unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte
und Freiheiten betroffener Personen:
1. Vertraulichkeit (Art. 32 Abs. 1 Buchst. b DSGVO)
1.1 Zutrittskontrolle
Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.
● Nicht einschlägig, da kein Betriebsgelände, die Services werden ausschließlich bei ISO
27001 zertifizierten Cloud Computing Providern gehostet.
1.2 Zugangskontrolle
Das Eindringen Unbefugter in die IT-Systeme ist zu verhindern.
● Server sind nur nach einem individuellen Login nutzbar
● Clients sind nur nach einem individuellen Login nutzbar
● Login mit Kennwortverfahren (u.a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel
des Kennworts)
● fehlerhafte Anmeldeversuche werden protokolliert
● Anweisung zum Sperren des IT-Systems bei Verlassen des Arbeitsplatzes
● Automatische Sperrung bei Pausen und Fehlanmeldungen (z.B. Kennwort oder
Pausenschaltung)
● Einrichtung eines Benutzerstammsatzes pro User
● automatisierte Standardroutinen für regelmäßige Aktualisierung von Schutzsoftware
● Verschlüsselung von Datenträgern
● mobile IT-Systeme sind verschlüsselt
● mobile Datenträger sind verschlüsselt
1.3 Zugriffskontrolle
Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu
verhindern.
● es gibt ein Berechtigungskonzept mit differenzierten Berechtigungen (Profile, Rollen,
Transaktionen und Objekte)
● Verfahren zur Vergabe und periodischen Überprüfung der Berechtigungen ist definiert
● Berechtigungen werden ausschließlich von Administratoren eingerichtet
● Anzahl der Administratoren ist weitgehend reduziert
● ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich über verschlüsselte
Verbindungen
● Zugriffe auf Anwendungen und/oder Daten werden protokolliert und könnenausgewertet
werden
● nicht mehr verwendete Datenträger werden sicher gelöscht / vernichtet
● Papierunterlagen mit personenbezogenen Daten werden sicher vernichtet
● Daten-Löschungen/-Vernichtungen werden protokolliert
1.4 Trennungskontrolle
Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.
● Interne Mandantenfähigkeit (z.B.: Daten von unterschiedlichen Auftraggebern sind
logisch/physikalisch voneinander getrennt)
● Funktionstrennung (Produktion/Test)
● Zuständigkeiten und Verantwortlichkeiten sind eindeutig festgelegt
1.5 Pseudonymisierung (Art. 32 Abs. 1 Buchst. a DSGVO; Art. 25 Abs. 1 DSGVO)
Ein Personenbezug ist nur möglich, wenn zusätzliche Informationen hinzugezogen werden können.
● personenbezogene Daten werden, soweit möglich, nur unter einem Pseudonym
gespeichert
● diezusätzlichenInformationen,dieeinenPersonenbezugherstellenkönnen,werdenunter
Verschluss aufbewahrt
2. Integrität (Art. 32 Abs. 1 Buchst. b DSGVO)
2.1. Weitergabekontrolle
Aspekte der Weitergabe personenbezogener Daten sind zu regeln: Elektronische Übertragung,
Datentransport, Übermittlungskontrolle, ...
● MitarbeiterinKundenprojektenwerdenbelehrtüberdiezulässigeNutzungundWeitergabe
von Daten
● Verschlüsselte Leitungen
● E-Mail-Verschlüsselung (TLS)
2.2. Eingabekontrolle
Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu
gewährleisten.
Beispiele (bitte anpassen/ergänzen):
● Protokollierungs- und Protokollauswertungssysteme (wer hat was eingegeben, geändert,
gelöscht?)
● Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle
Benutzernamen (nicht Benutzergruppen)
● Mitarbeiter sind verpflichtet, nur unter ihren eigenen Benutzerkonten zu arbeiten
● Kontrolldaten werden aufbewahrt
● Zugriff auf die Protokolle ist nur Berechtigten möglich
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 Buchst. b DSGVO)
3.1. Verfügbarkeitskontrolle
Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen.
● Verfahren zur regelmäßigen Sicherung der Daten (Backup)
● getrennte und katastrophensichere Aufbewahrung von Backups
● Backups sind verschlüsselt
● Einspielen von Backups wird regelmäßig getestet (Recovery)
● Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme,
Spam-Filter)
● IT-Systeme werden regelmäßig mit Sicherheits-Updates aktualisiert
● Notfallplan liegt vor
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art.
32 Abs. 1 Buchst. d DSGVO; Art. 25 Abs. 1 DSGVO)
4.1 Datenschutz-Management
● Handbuch / Richtlinie zum Datenschutz ist für die Mitarbeiter vorhanden
● Externer Datenschutzbeauftragter ist benannt (Felix Freyberg, Mandrellaplatz 3, 12555
Berlin, E-Mail: DPO+voico@felix-freyberg.de)
● regelmäßige Kontrolle durch den Datenschutzbeauftragten
● Beschäftigte werden im Datenschutz geschult
● Beschäftigten sind zum vertraulichen Umgang mit personenbezogenen Daten verpflichtet
● Vorgaben zum Umgang mit Datenpannen sind für Mitarbeiter vorhanden
● interne Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert und
angepasst
● Verzeichnis von Verarbeitungstätigkeiten im Sinn des Art. 30 DSGVO wird geführt
4.2 Incident-Response-Management
● Vorgaben vorhanden, was als Datenpanne anzusehen ist
● Vorgaben vorhanden, wie mit Datenpannen umzugehen ist
● Notfallplan vorhanden
4.3 Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
● Rechte- und Rollenkonzept nach dem „Need to know“-Prinzip
● externe Ressourcen werden, soweit möglich, vermieden
4.4 Auftragskontrolle
● Eindeutige Vertragsgestaltung
● formalisierte Auftragserteilung (Auftragsformular)
● Kriterien zur Auswahl des Auftragnehmers
● Kontrolle der Vertragsausführung
● Subunternehmer werden schriftlich beauftragt
Anhang 2 „Genehmigte Unterauftragsverhältnisse“
Unterauftragsverarbeiter Anschrift / Land Datenverarbeitung Serverstandort
T-Systems International Hahnstraße 43d Cloud-Computing Deutschland
GmbH 60528 Frankfurt a.M. (Backend)
Deutschland
IONOS SE Elgendorfer Str. 57 Cloud-Computing Deutschland
56410 Montabaur
Deutschland
OpenAI Ireland Ltd 117-126 Sheriff Street Bereitstellung von USA
(sofern vom Upper KI-Modellen (GPT)
Verantwortlichen Dublin 1, D01 YC43
ausgewählt) Irland
Google Cloud EMEA 70 Sir John Bereitstellung von EU
Limited Rogerson's Quay KI-Modellen (Gemini)
(sofern vom Dublin 2, D02 R296
Verantwortlichen Ireland
ausgewählt)
Anthropic PBC 548 Market Street, Bereitstellung von USA
(sofern vom PMB 90375 San KI-Modellen (Claude)
Verantwortlichen Francisco, CA 94104
ausgewählt) USA
Eleven Labs Inc. 169 Madison Ave Bereitstellung von EU
#2484 Text-to-Speech-Funktionen
New York, NY 10016
USA
Twilio Germany GmbH Unter den Linden 10 Bereitstellung von Deutschland
10117 Berlin Telekommunikations-
Deutschland diensten (Telefonnummern)
